Sessiz Push tehdit analistleri tarafından keşfedilen karmaşık bir siber operasyonda, Rus hackerlar, Ukrayna’nın savunma çabalarına sempati duyan bireyler üzerinde istihbarat toplamak için CIA dahil olmak üzere çeşitli organizasyonları taklit eden çok yönlü bir kimlik avı kampanyası başlattı.
Rus istihbarat hizmetleri veya hizalanmış aktörler tarafından düzenlendiğine inanılan kampanya, şüphesiz kurbanlardan kişisel bilgileri toplamak için hileli bir web sitesi ağı kullanıyor.
Savaş karşıtı duygudan yararlanmak
Tehdit aktörleri, Ukrayna’daki Rus hizmet üyeleri için temyiz hattı olan bir temyiz hattı olan Rus Gönüllü Kolordu (RVC), Lejyon Liberty ve “Yaşamak İstiyorum” (Hochuzhit) ‘e ait ikna edici web sitelerinin kopyalarını yarattı.
Bu sahte siteler, ziyaretçileri görünüşte işe alım veya bilgi paylaşım amaçları için kişisel veriler göndermeye iter.
Kampanya, Rusya Federasyonu’nda yasadışı olan ve tutuklamalara neden olabilecek savaş karşıtı faaliyetlerde yer alan Rus vatandaşlarını hedefliyor.
Teknik Altyapı ve Taktikler
Kimlik avı altyapısı, Nybula LLC’de (ASN 401116) dikkate değer bir varlık ile kurşun geçirmez sağlayıcılarda barındırılan birden fazla alandan kapsamaktadır.
Saldırganlar, mağdur bilgilerini yakalamak için meşru görünümlü Google formlarının kullanılması ve güvenilirliği artırmak için otantik telgraf kanallarının yerleşimi de dahil olmak üzere sofistike taktikler kullanıyor.
CIA kimliğine bürünme çabasında bir anahtar alan, CIAGOV[.]YBÜ, kullanıcılar bilgi raporlamaya çalıştığında şüpheli “gönderim referans kimlikleri” oluşturduğu bulundu.
Rapora göre, bu alan adı, Jagotovoff gibi diğerleriyle birlikte[.]Com, sahte RVC ve Lejyon Liberty siteleriyle paylaşılan altyapı, koordineli bir çaba gösterdi.
Tehdit aktörleri ayrıca arama motoru sonuçlarını manipüle ettiler ve kurbanları kimlik avı sayfalarına çekmek için aldatıcı YouTube içeriği yarattı.
Örneğin, her iki Ciagov[.]YBÜ ve kampanyanın çok platform yaklaşımını gösteren sahte .onion alanı.
Mart 2025 itibariyle kampanya, yeni alan adlarının sürekli olarak kaydedilmesiyle aktif olmaya devam ediyor.
Güvenlik araştırmacıları, belirli IP adresleri ve etki alanı adlandırma modelleri de dahil olmak üzere çeşitli uzlaşma göstergeleri belirlediler.
Kuruluşlara ve bireylere, bu varlıkları temsil etmeyi iddia eden web siteleriyle etkileşime girerken dikkatli olmaları ve kişisel bilgiler isteyen formların gerçekliğini doğrulamaları tavsiye edilir.
Bu sofistike operasyon, jeopolitik çatışmalar bağlamında siber tehditlerin gelişen doğasının altını çizerek, gelişmiş dijital uyanıklık ve sağlam siber güvenlik önlemlerine olan ihtiyacı vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.